Dansk oversættelse af en FAQ udarbejdet af IAB Europe den 7. februar 2022.

OFTE STILLEDE SPØRGSMÅL

Den belgiske databeskyttelsesmyndighed (APD) fremlagde den 2. februar 2022 en afgørelse om Transparency & Consent Framework (TCF). Nedenfor gennemgås hvad afgørelsen omfatter samt hvad den medfører for TCF, IAB Europe, leverandører, udgivere og samtykkestyringsplatforme (CMP’er).

Er TCF CMP-samtykkebokse ulovlige?

Nej. Der er intet i APDs afgørelse, der tilnærmelsesvist tyder på, at samtykkebokse som sådan er ulovlige, eller at de ikke bør anvendes af aktører inden for digital reklame til at overholde lovkrav under GDPR.

Der er i højere grad tale om, at APD kræver, at der anføres yderligere oplysninger i samtykkebokse. Årsagen er, at APD anser signaler med brugerpræferencer (dvs. TC-strenge i TCF) som persondata, som kræver etablering af et behandlingsgrundlag i henhold til GDPR, og at brugere ikke med rimelighed kan forvente, at deres præferencer bliver registreret. Derfor kan yderligere oplysninger i samtykkebokse om indsamling og behandling af personoplysninger vise sig at være den eneste måde at etablere den nødvendige gennemsigtighed om og brugerkontrol over oprettelse, lagring og behandling af TC-strenge. (Se: “Hvad er TC-strenge?” i et senere afsnit.)

Skal alle data indsamlet via TCF slettes?

Nej. For det første er spørgsmålet om, hvorvidt TCF reelt involverer behandling af “persondata” stadig uafklaret. (Se: “Hvorfor betragtes TC-strenge som persondata af APD?” i et senere afsnit.)

For det andet anfører APD udtrykkeligt i sin afgørelse, at de ikke kan påtvinge IAB Europe at fjerne alle TC-strenge, der er genereret indtil nu. APD kræver dog, at IAB Europe sikrer sletning af persondata, der er indsamlet ved hjælp af en TC-streng i forbindelse med “global scope”, som er en specifik mekanisme, der blev udfaset i juni 2021. Denne mekanisme hjalp med at sætte samtykkepræferencer i en bredere form og uafhængigt af den enkelte CMP, men den mekanisme er ikke længere i brug. (Se: “Hvad er det ’global scope’?” i et senere afsnit.)

APDs afgørelse vedrører kun IAB Europe og ikke leverandører, udgivere eller CMP’er, men den indikerer muligheden for, at en given udgiver eller CMP kan modtage besked om at slette TC-strenge, hvis de indeholder “persondata, der er blevet indsamlet i strid med artikel 5 og 6 i GDPR”. Dette er der dog ikke noget nyt i. Hvis persondata er indsamlet i strid med GDPR, må de ikke behandles. Der er imidlertid ikke konstateret GDPR-brud fra leverandører, udgivere eller CMP’er i afgørelsen. For mere information om, hvad APDs afgørelse medfører for dig som TCF-deltager – se afsnittet: “Er TCF-deltagere i risiko over for deres datatilsyn?” i et senere afsnit.

Vil legitim interesse blive fjernet fra TCF som behandlingsgrundlag?

APD vurderede og konkluderede udelukkende, at anvendelsen af legitim interesse var utilstrækkelig til formål, der indebærer målrettet annoncering eller profilering af brugere (undtagen ikke-markedsføringsrelaterede formål såsom målgruppe- og ydelsesmåling). Det er derfor uklart, om kravet til IAB Europe om at forhindre brug af legitim interesse som et juridisk grundlag for behandling af personoplysninger fra TCF-deltagere skal gælde for alle TCF-formål eller udelukkende til formål relateret til personlig annoncering og profilering. På grund af den manglende klarhed i APDs holdning til dette punkt, vil IAB Europe se nærmere på dette spørgsmål i sine drøftelser med APD – såvel som i en eventuel appelsag, hvis det bliver relevant (se spørgsmålet “Vil IAB Europe appellere til domstolene?”).

Hvorfor betragtes TC-strenge som persondata af APD?

Selvom APD ikke mener, at det er fastslået, at TC-strengen i sig selv giver mulighed for direkte identifikation af brugeren på grund af de begrænsede metadata og værdier, den indeholder, mener man, at muligheden for at kombinere TC-strenge og IP-adressen af CMP’er betyder, at der i sidste ende er tale om oplysninger om en identificerbar bruger og dermed persondata. Dette er baseret på opfattelsen af, at CMP’er via en internetudbyder kan knytte en IP-adresse til en person, hvilket er et ræsonnement baseret på juridiske afgørelser i en helt anden kontekst. APD anfører også, at identifikation er mulig ved at linke TC-strengen til andre data, som kan anvendes af TCF-deltagere.

Hvilket behandlingsgrundlag kan bruges til at behandle TC-strenge?

APD ser hverken ud til at opfatte samtykke eller opfyldelse af en kontrakt som tilgængelige juridiske grundlag for IAB Europes behandling af TC-strenge, men det virker til, at legitim interesse kan udgøre et tilstrækkeligt behandlingsgrundlag. APD mener, at registrering af brugernes samtykke og præferencer for at sikre og demonstrere, at brugere har givet gyldigt samtykke til eller ikke har gjort indsigelse mod reklameformål, kan betragtes som en legitim interesse, og at de oplysninger, der behandles i en TC-streng, er begrænset til data, der er strengt nødvendige for at opnå det tilsigtede formål. Det bemærkes dog, at brugere skal informeres om, at deres præferencer gemmes i form af en TC-streng og tilbydes mulighed for at udøve deres ret til at gøre indsigelse mod en sådan lagring/behandling.

Vil IAB Europe appellere til Markedsdomstolen?

[Opdateret: 11. februar 2022] IAB Europe har oplyst, at man vil appellere afgørelsen. Mere information her. 

Vil TCF blive et adfærdskodeks?

IAB Europe har siden etablering af standarden haft til hensigt at udvikle TCF til et GDPR adfærdskodeks. De ændringer, som APD anbefaler i afgørelsen, kan meget vel resultere i en udformning, der er bedre afstemt med APDs forventninger og kvalificere TCF som et godkendt adfærdskodeks, med APD som tilsynsmyndighed.

Er OpenRTB ulovligt?

Afgørelsen er kun relateret til IAB Europes ansvar over TC-strenge, og sanktionen vedrører udelukkende dette ansvar. OpenRTB-systemets funktionalitet er blevet vurderet som en del af APDs analyse af TCF og dets interaktion med førstnævnte, men afgørelsen omhandler ikke direkte lovligheden af OpenRTB-standarden.

Hvad er konsekvenserne for IAB Europe ved at være dataansvarlig for TC-strenge?

Baseret på vejledning fra andre datatilsyn indtil nu og det faktum, at IAB Europe ikke på nogen måde behandler, ejer eller beslutter brugen af specifikke TC-strenge (og heller ikke er involveret i nogen “koordinering” af brugen af TC-strenge), samt relevant retspraksis og egen fortolkning af GDPR, har IAB Europe ikke anset sig selv for at være dataansvarlig i forbindelse med TCF. I sin afgørelse når APD dog frem til en anden vurdering om, at IAB Europe er ansvarlig for behandling af personoplysninger i form af TC-strenge og dermed er underlagt særlige forpligtelser i henhold til GDPR.

APD-afgørelsen kræver, at IAB Europe samarbejder med APD for at sikre, at disse forpligtelser overholdes fremadrettet. Det omfatter særligt: Etablering af et behandlingsgrundlag for TC-strenge, sikring af effektive tekniske og organisatoriske overvågningsforanstaltninger for at garantere integriteten og fortroligheden af TC-strenge, udføre en konsekvensanalyse (DPIA) med hensyn til behandlingsaktiviteterne under TCF og udpeger en databeskyttelsesansvarlig.

Er TCF-deltagere i risiko over for deres datatilsyn?

I princippet nej – for det første pga. timing og proceduremæssige årsager og for det andet af tekniske og juridiske årsager.

Med hensyn til timing og procedure gør følgende sig gældende: (i) APD-afgørelsen kan appelleres (se afsnittet “Vil IAB Europe appellere til Markedsdomstolen?”) og (ii) Afgørelsen omfatter en henstandsperiode i form af en periode på først to måneder til fremlæggelse en plan til APD for at tage højde for APDs konklusioner og i alt seks måneder til at implementere de nødvendige ændringer, når de er aftalt. Enhver undersøgelse eller klage inden afslutningen af disse opfølgningsprocedurer (herunder evt. appel, hvis det er relevant, og samarbejdet med APD) kan anfægtes for at forhindre retssystemets fremgang. Dette forstærkes af, at mange andre nationale datatilsyn har givet input til APD, før den afsagde sin afgørelse, samt generelle principper vedr. retten til forsvar.

Fra et mere teknisk og juridisk perspektiv konkluderer APD-afgørelsen ikke i sig selv, at brugen af TC-strenge eller TCF mere generelt er ulovlig. Selvom det antydes, at en given udgiver eller CMP kan modtage ordre om at slette TC-strenge, hvis de indeholder “personlige data, der er blevet indsamlet i strid med artikel 5 og 6 i GDPR”, konkluderer afgørelsen ikke, at leverandører, udgivere eller CMP’er automatisk indsamler personoplysninger i strid med GDPR. Med andre ord gør APD-afgørelsen det ikke meget nemmere for lokale databeskyttelsesmyndigheder at angribe specifikke leverandører, udgivere eller CMP’er.

Vil handlingsplanen og dens udførelse kun blive overvåget af APD eller også af andre berørte myndigheder?

APD forventer, at IAB Europe fremsender en handlingsplan inden for to måneder efter offentliggørelsen af afgørelsen. Når handlingsplanen er godkendt af det belgiske datatilsyn, bør overholdelsesforanstaltningerne afsluttes inden for en periode på højst seks måneder. Denne proces vil involvere ændringer af TCF, som skal godkendes af de eksisterende TCF-instanser (styre-, policy- og signal-arbejdsgrupperne).

Deler IAB Europe persondata med banker og forsikringsselskaber?

Dette kan virke som et mærkeligt spørgsmål, men i et nyligt interview fremsatte formanden for APD den forbløffende påstand, at “data hos IAB deles med banker og forsikringsselskaber”. Dette overraskede selv IAB Europe, da det er uklart, på hvilket grundlag formanden fremsatte denne påstand, og under alle omstændigheder kommer APDs afgørelse ikke engang i nærheden af at fremsætte nogen påstande i denne henseende. IAB Europe er en brancheforening for den digitale reklamebranche og udvikler retningslinjer og standarder (såsom TCF). IAB Europe behandler ikke eller overfører ikke nogen persondata ud over, hvad der kræves for brancheforeningens normale aktiviteter (dvs. data om dets ansatte, data fra medlemsrepræsentanter og data relateret til driften af dets hjemmeside). Organisationen deler bestemt ikke nogen som helst data med hverken banker eller forsikringsselskaber ud over, hvad der er lovligt påkrævet for ansatte og medlemsbetalinger.

Yderligere oplysninger om TCF

Hvad er TCF?

TCF blev lanceret i april 2018 og er en frivillig open source-standard, hvis formål er at hjælpe virksomheder fra det digitale reklameøkosystem i deres bestræbelser på at overholde EU’s lovgivning om privatliv og databeskyttelse (GDPR). Den indeholder et minimalt sæt af best practices, der søger at sikre, at når persondata behandles, får brugerne tilstrækkelig gennemsigtighed og valgmuligheder, og at deltagerne i økosystemet informeres – gennem et digitalt signal – om, hvilke præferencer brugerne har givet udtryk for, så de ved, hvad de har tilladelse til. Gennemsigtighed og valgmuligheder leveres af udgivere (websteder) og deres samtykkestyringsplatforme (CMP’er), som derefter genererer det digitale signal og gør det tilgængeligt for de virksomheder, der har brug for at vide, om brugeren har givet dem de nødvendige tilladelser i henhold til GDPR.

Hvad er TC-strenge?

TC-strenge er de digitale signaler, der er skabt af Consent Management Platforms (CMP’er), der arbejder for udgivere (ejere af websteder og/eller apps) med at registrere brugernes valg om behandlingen af deres persondata til digital annoncering, indhold og måling. Leverandører kan modtage sådanne signaler direkte fra CMP’er eller fra andre TCF-deltagere for at verificere, om de har opnået samtykke eller legitim interesse til et formål.

Hvad er ’global scope’?

TCF tillod tidligere, at behandlingsgrundlag blev etableret med et “global scope”, hvilket betød, at et det ikke kun var gældende på webstedet eller gruppen af websteder (tjenestespecifikke og gruppespecifikke områder), hvor det var indhentet og administreret, men at alle tjenester implementerede brugerens præferencer ”globalt”. Udfasningen af global scope blev annonceret den 22. juni 2021 på grund af en generelt ubetydeligt brug heraf fra udgivere og en indikation fra flere datatilsyn om, at brugere skulle informeres tydeligt om de digitale egenskaber, hvor deres valg gælder, for eksempel ved at blive forsynet med en liste over domæner.